Windows サーバーワークロード用のリモートデスクトップゲートウェイの設定
このガイダンスは、リモートデスクトップゲートウェイを AWS クラウドにデプロイする方法を説明します。RD ゲートウェイは、Remote Desktop Protocol (RDP) over HTTPS を使用して、リモートユーザーと Microsoft Windows が実行されている Amazon Elastic Compute Cloud (Amazon EC2) インスタンス間で、仮想プライベートネットワークを使用せずに暗号化接続を確立します。これにより、管理者向けのリモート管理ソリューションを提供しつつ、Windows ベースのインスタンスに対する攻撃を削減することができます。RD ゲートウェイを AWS アカウント内の新規の仮想プライベートクラウド (VPC) にデプロイするか、既存の VPC にスタンドアロンまたはドメイン参加型としてデプロイするかを選択できます。
ご注意: [免責事項]
アーキテクチャ図
[アーキテクチャ図の説明]
ステップ 1
AWS CloudFormation テンプレートを使用して、パブリックサブネットとプライベートサブネットを持つ 2 つのアベイラビリティーゾーンにまたがる新規または既存の Amazon Virtual Private Cloud (Amazon VPC) に RD ゲートウェイをデプロイします。別の CloudFormation テンプレートを使用して、Active Directory のドメイン参加型 (既存の VPC が必要) またはドメイン非参加型の Windows インスタンスをプライベートサブネットにデプロイします。
ステップ 2
AWS Secrets Manager は、RD ゲートウェイインスタンスへのアクセスに使用される認証情報 (ユーザー名やパスワードなど) を安全に保存します。 注: セキュリティを強化するために、RD ゲートウェイインスタンスで多要素認証 (MFA) を有効にすることを強くお勧めします。
ステップ 3
AWS Systems Manager は、Secrets Manager からユーザー名とパスワードの値を取得し、RD ゲートウェイインスタンスを設定することで、2 つのパブリックサブネットにまたがる Amazon EC2 Auto Scaling グループのデプロイを自動化します。
ステップ 4
各パブリックサブネットの Auto Scaling グループには、最大 4 つの RD ゲートウェイインスタンスがあります。これはプライベートサブネット内のインスタンスへのセキュアなリモートアクセスを提供します。それぞれの RD ゲートウェイインスタンスには Elastic IP アドレスが割り当てられているため、インターネットから直接アクセスできます。
ステップ 5
プライベートサブネットのインスタンス用の空のアプリケーション層 (インスタンスのセキュリティグループを含む) では、必要な RD ゲートウェイポートにアクセスできます。
ステップ 6
Network Load Balancer を使用すると、RD ゲートウェイの Auto Scaling グループにリモートアクセスできます。
ステップ 7
インターネットへのアクセスを提供するインターネットゲートウェイ。このゲートウェイは RD ゲートウェイインスタンスのトラフィックの送受信に使用されます。
ステップ 8
マネージドネットワークアドレス変換 (NAT) ゲートウェイ。プライベートサブネット内のリソースへのアウトバウンドインターネットアクセスを提供します。
ステップ 9
Amazon EventBridge リソースは、アクティブディレクトリドメインから廃止されたインスタンスを削除します。
ステップ 1
AWS CloudFormation テンプレートを使用して、パブリックサブネットとプライベートサブネットを持つ 2 つのアベイラビリティーゾーンにまたがる新規または既存の Amazon Virtual Private Cloud (Amazon VPC) に RD ゲートウェイをデプロイします。別の CloudFormation テンプレートを使用して、Active Directory のドメイン参加型 (既存の VPC が必要) またはドメイン非参加型の Windows インスタンスをプライベートサブネットにデプロイします。
ステップ 2
AWS Secrets Manager は、RD ゲートウェイインスタンスへのアクセスに使用される認証情報 (ユーザー名やパスワードなど) を安全に保存します。 注: セキュリティを強化するために、RD ゲートウェイインスタンスで多要素認証 (MFA) を有効にすることを強くお勧めします。
ステップ 3
AWS Systems Manager は、Secrets Manager からユーザー名とパスワードの値を取得し、RD ゲートウェイインスタンスを設定することで、2 つのパブリックサブネットにまたがる Amazon EC2 Auto Scaling グループのデプロイを自動化します。
ステップ 4
各パブリックサブネットの Auto Scaling グループには、最大 4 つの RD ゲートウェイインスタンスがあります。これはプライベートサブネット内のインスタンスへのセキュアなリモートアクセスを提供します。それぞれの RD ゲートウェイインスタンスには Elastic IP アドレスが割り当てられているため、インターネットから直接アクセスできます。
ステップ 5
プライベートサブネットのインスタンス用の空のアプリケーション層 (インスタンスのセキュリティグループを含む) では、必要な RD ゲートウェイポートにアクセスできます。
ステップ 6
Network Load Balancer を使用すると、RD ゲートウェイの Auto Scaling グループにリモートアクセスできます。
ステップ 7
インターネットへのアクセスを提供するインターネットゲートウェイ。このゲートウェイは RD ゲートウェイインスタンスのトラフィックの送受信に使用されます。
ステップ 8
マネージドネットワークアドレス変換 (NAT) ゲートウェイ。プライベートサブネット内のリソースへのアウトバウンドインターネットアクセスを提供します。
ステップ 9
Amazon EventBridge リソースは、アクティブディレクトリドメインから廃止されたインスタンスを削除します。
Well-Architected Pillars
AWS Well-Architected フレームワークは、クラウドでシステムを構築する際に行う決定の長所と短所を理解するのに役立ちます。フレームワークの 6 つの柱により、信頼性が高く、安全かつ効率的で、費用対効果が高く、持続可能なシステムを設計および運用するためのアーキテクチャのベストプラクティスを学ぶことができます。AWS マネジメントコンソールで無料で提供されている AWS Well-Architected Tool を使用し、各柱の一連の質問に回答することで、これらのベストプラクティスに照らしてワークロードを確認できます。
上記のアーキテクチャ図は、Well-Architected のベストプラクティスを念頭に置いて作成されたソリューションの例です。完全に Well-Architected であるためには、可能な限り多くの Well-Architected ベストプラクティスに従う必要があります。
-
運用上の優秀性運用上の優秀性に関するホワイトペーパーを読む
CloudFormation テンプレートは、必要なリソースとその依存関係を 1 つのスタックに記述し、スタック全体を 1 つのユニットとして作成、更新、削除できるため、アベイラビリティーゾーン全体でパブリックサブネットとプライベートサブネットのクラウドリソースを簡単に管理できます。
Systems Manager は、複数の AWS のサービスの運用データをハブに一元化し、AWS 上のリソース全体のタスクを自動化します。稼働状態とパフォーマンスを監視するための運用管理、運用ワークフローを合理化するアプリケーション管理、アプリケーション設定の運用変更を簡素化する変更管理や、トラブルシューティングを迅速に行い、パッチ適用を自動化するためのノード管理を行います。
-
セキュリティセキュリティに関するホワイトペーパーを読む
Secrets Manager は、きめ細かい AWS Identity and Access Management (IAM) およびリソースベースのポリシーと組み合わせて、シークレットを安全に暗号化し、一元的に監査します。これにより、アプリケーション、サービス、IT リソースへのアクセスが保護され、データセキュリティとプライバシーに関する規制およびコンプライアンス要件を満たすことができます。セキュリティを強化するには、RD ゲートウェイインスタンスで MFA を有効にしてください。
Amazon VPC のプライベートサブネットには、必要なポートへのアクセスを許可するインスタンスのセキュリティグループが含まれています。パブリックサブネットには、プライベートサブネットのインスタンスへ安全にリモートアクセスするための RD ゲートウェイインスタンスが含まれます。パブリックサブネットには、パブリックインターネットへのアクセスを可能にするインターネットゲートウェイへの直接ルートがあります。プライベートサブネットには、インターネットゲートウェイへの直接ルートがなく、パブリックインターネットにアクセスするには NAT ゲートウェイが必要です。
-
信頼性信頼性に関するホワイトペーパーを読む
Network Load Balancer は、極めて低いレイテンシーを維持しながら、1 秒に何百万件ものリクエストを処理することができます。また、アベイラビリティーゾーンごとに単一の静的 IP アドレスを使用しながら、突発的で不安定なトラフィックパターンに対処できるよう最適化されています。Network Load Balancer は接続レベル (レベル 4) で動作するため、TCP と UDP の両方のトラフィックを負荷分散して、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、マイクロサービス、コンテナなどのターゲットに接続をルーティングできます。
-
パフォーマンス効率パフォーマンス効率に関するホワイトペーパーを読む
Amazon EC2 Auto Scaling は、アプリケーションの負荷を処理するために適切な数の EC2 インスタンスを利用できるよう準備するサービスです。Auto Scaling グループと呼ばれる EC2 インスタンスのコレクションを作成します。Amazon EC2 Auto Scaling では、希望する容量を満たすように指定した数のインスタンスがグループに常にあるようにします。スケーリングポリシーを指定すると、Amazon EC2 Auto Scaling は、アプリケーションの負荷が増減したときに、オンデマンドでインスタンスを起動または終了できます。
-
コストの最適化コスト最適化に関するホワイトペーパーを読む
Amazon EC2 Auto Scaling は購入オプションとインスタンスタイプの組み合わせにより、ワークロードのパフォーマンスとコストを最適化します。このサービスでは、サイズ、パフォーマンス、コストの最適化を行うために、さまざまな購入オプション、アベイラビリティーゾーン、インスタンスファミリーを単一のアプリケーション内で組み合わせてインスタンスをプロビジョニングしたり、自動スケーリングさせたりできます。Amazon EC2 スポットインスタンスとオンデマンドインスタンスとリザーブドインスタンスを 1 つの Auto Scaling グループに含めると、コンピューティングコストを最大 90% 節約できます。
-
持続可能性持続可能性に関するホワイトペーパーを読む
Amazon EC2 Auto Scaling と Network Load Balancer は連携して、ワークロードトラフィックの伸縮性に基づいて自動的にスケールインとスケールアウトを行います。EventBridge リソースは、Active Directory ドメインから廃止されたインスタンスを削除します。このアーキテクチャはインスタンスを自動的に追加および削除し、ワークロードの環境への影響を効果的に最適化します。
実装リソース
AWS アカウント内で実験および使用するための詳細なガイドが提供されています。ガイダンス構築の各段階 (デプロイ、使用、およびクリーンアップを含む) は、デプロイに向けて準備するために詳細に検討されています。
サンプルコードは出発点です。これは業界で検証済みであり、規範的ではありますが決定的なものではなく、内部を知ることができ、開始に役立ちます。
関連コンテンツ
CloudFormation リモートデスクトップゲートウェイ
AWS でのリモートデスクトップゲートウェイ
免責事項
サンプルコード、ソフトウェアライブラリ、コマンドラインツール、概念の実証、テンプレート、またはその他の関連技術 (私たちの担当者から提供される前述のものを含む) は、AWS カスタマーアグリーメント、またはお客様と AWS との間の関連文書契約 (いずれか該当する方) に基づき、AWS コンテンツとしてお客様に提供されるものです。お客様は、この AWS コンテンツを、お客様の本番アカウント、または本番データもしくはその他の重要なデータで使用すべきではありません。お客様は、サンプルコードなどの AWS コンテンツを、お客様固有の品質管理手法および基準に基づいて、本番グレードでの使用に適したテスト、セキュリティ確保、および最適化を行う責任を負います。AWS コンテンツのデプロイには、Amazon EC2 インスタンスの実行や Amazon S3 ストレージの使用など、AWS の課金対象リソースを作成または使用するための AWS 料金が発生する場合があります。
本ガイダンスにおける第三者のサービスまたは組織への言及は、Amazon または AWS と第三者との間の承認、後援、または提携を意味するものではありません。AWS からのガイダンスは技術的な出発点であり、アーキテクチャをデプロイするときにサードパーティのサービスとの統合をカスタマイズできます。